Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda> Data Encryption Workshop> Descripción general del servicio> KMS> Funciones
Actualización más reciente 2022-11-03 GMT+08:00
Ver PDF

Funciones

KMS es un servicio en la nube seguro, confiable y fácil de usar que ayuda a los usuarios a crear, gestionar y proteger claves de manera centralizada.

Utiliza Hardware Security Modules (HSMs) para proteger las claves. Todas las CMK están protegidas por claves root en HSM para evitar fugas de claves.

También controla el acceso a las claves y registra todas las operaciones en claves con registros rastreables. Además, proporciona registros de uso de todas las claves, cumpliendo con sus requisitos de auditoría y cumplimiento normativo.

Funciones

  • En la consola KMS, puede realizar las siguientes operaciones en CMK:
    • Creación, consulta, habilitación, deshabilitación, programación de la eliminación y cancelar la eliminación de CMK
    • Modificación del alias y la descripción de CMK
    • Uso de la herramienta en línea para cifrar y descifrar pequeños volúmenes de datos
    • Adición, búsqueda, edición y eliminación de etiquetas
    • Creación, cancelación y consulta de subvenciones
  • Puede utilizar la API para realizar las siguientes operaciones:
    • Creación, encriptación o desencriptación de data encryption keys (DEKs)
    • Subsidios de jubilación
    • Firma o verificación de la firma de mensajes o resúmenes de mensajes

    Para obtener más información, consulta la Referencia de la API de Data Encryption Workshop.

  • Generar hardware verdadero número aleatorio.

    Puede generar números aleatorios de 512 bits mediante la API de KMS. Los números aleatorios verdaderos de hardware de 512 bits se pueden usar como o servir como base para materiales clave y parámetros de encriptación. Para obtener más información, consulta la Referencia de la API de Data Encryption Workshop.

Algoritmos criptográficos soportados por KMS

Las claves simétricas creadas en la consola KMS utilizan el algoritmo AES-256. Las claves asimétricas creadas por KMS soportan los algoritmos RSA y ECC.

Tabla 1 Algoritmos de clave soportados por KMS

Tipo de clave

Tipo de algoritmo

Especificaciones clave

Descripción

Uso

Symmetric key

AES

AES_256

Clave simétrica de AES

Cifra y descifra una pequeña cantidad de datos o claves de datos.

Asymmetric keys

RSA
  • RSA_2048
  • RSA_3072
  • RSA_4096

Contraseña asimétrica de RSA

Cifra y descifra una pequeña cantidad de datos o crea firmas digitales.

ECC
  • EC_P256
  • EC_P384

Curva elíptica recomendada por el NIST

Firma digital

Tabla 2 describes the encryption and decryption algorithms supported for user-imported keys. Solo se pueden importar claves simétricas de 256 bits.

Tabla 2 Algoritmos de envoltura de claves

Algoritmo

Descripción

Configuración

RSAES_OAEP_SHA_256

Algoritmo de encriptación RSA que utiliza OAEP y tiene la función hash SHA-256

Seleccione un algoritmo de encriptación basado en sus funciones HSM.

Si los HSM soportan el algoritmo RSAES_OAEP_SHA_256, utilice RSAES_OAEP_SHA_256 para cifrar materiales de clave.

AVISO:

El algoritmo de encriptación RSAES_OAEP_SHA_1 ya no es seguro. Tenga cuidado al realizar esta operación.

RSAES_OAEP_SHA_1

Algoritmo de encriptación RSA que utiliza Optimal Asymmetric Encryption Padding (OAEP) y tiene la función hash SHA-1
Tema principal: KMS